互联网时代个人信息宪法保护路径研究_于茜.pdf

互联网时代个人信息宪法保护路径研究于茜1，陈震2(1中国人民公安大学 研究生院，北京 100038;2北京市第一中级人民法院，北京 100040)摘要 在互联网时代，信息科技领域对个人信息的使用愈发频繁，个人信息被滥用的情况层出不穷。这不但侵害了公民个人权利，也带来了一定的社会风险。对刑法、民法等领域的公民个人信息保护研究是全方位的，相关的成果也非常丰富;但就宪法领域而言，我国学者研究的广度和深度还远远不够。对个人信息宪法保护路径进行探索，应充分借鉴美、德两国的立法经验，从厘清个人信息宪法保护与宪法基本权利的关系入手，明确宪法范畴下个人信息受保护权的概念和范围，并设立个人信息专门保护机构。关键词 个人信息;宪法保护;基本权利 中图分类号 D921;D9221 文献标志码 A 文章编号 20957602(2023)01003905在互联网时代，如何保护个人信息成为全社会关注的问题。从社会层面来看，互联网时代的个人信息被滥用，个人信息保护已成为社会共识;从法律层面来看，个人信息保护法 的出台回应了社会关切，但在立法体系中居于统帅地位的宪法如何回应尚未可知;从学术研究层面看，个人信息保护已成为最热的议题之一，学界对个人信息保护的学术论争持续进行，但宪法层面的研究和讨论还处于初级阶段，如何从宪法层面进行保护成为至关重要的问题。一、我国个人信息宪法保护立法现状2004 年，国务院委托最早在个人信息保护领域开展立法研究的两位专家 齐爱民教授和周汉华教授分别牵头，起草国内首份 个人信息保护法 专家意见草案。周汉华教授建议采取个人信息保护入宪的立法模式，在建议稿第一条就明确该法的立法依据是宪法，提出个人信息属于宪法基本权利范畴。1 周教授认为，此种立法模式既能够体现个人信息权的公共利益权利属性，也能为后续个人信息立法保护体系的建立提供法理依据。齐爱民教授建议，对个人信息权的保护应与国家安全、公共安全联系起来，将个人信息权视为公民个人基本权利的一部分并予以保护。2 随着个人信息保护立法研究的不断深入，我国逐渐形成“公法保护”与“私法保护”齐头并进的“公私并行”立法保护模式。其中，“公法保护”强调公安、网信、市监等政府主管部门依据个人信息保护法 网络安全法 等法律法规，通过行政执法专项行动，保护公民的个人信息权益;“私法保护”强调个人信息主体的自主性，主张个人信息主体依据 民法典 侵权责任法 等民商事法律法规，针对侵害个人信息的行为通过诉讼等方式维护自己的合法权益。通过梳理可以发现，国内个人信息保护模式主要存在以下几个突出问题:首先，立法分散，缺乏宪法依据。目前，各相关领域陆续出台各种法律法规，但作为国家根本大法的宪法 并未对个人信息保护进行规定，使 收稿日期 20220826 作者简介 于茜，女，硕士研究生，从事外国宪法学、行政法学研究;陈震，男，三级主任科员，从事刑法学、个人信息保护研究。93个人信息保护缺乏上位法依据。其次，执法不统一，缺乏专门的个人信息保护机关。目前我国保护个人信息的执法权散落于各个与之相关的执法部门，缺乏统一性和连贯性;且执法所依据的法律法规多数具有强制性特点，监管部门的教育引导相对较少，难以形成自发保护的社会氛围。最后，边界模糊，核心概念界定不清。学者们对如何确定“个人信息权利属性”的概念争论不休，保护范围缺乏核心概念支撑，保护边界很难确定。二、美、德两国关于个人信息宪法保护的经验从 20 世纪 60 年代起，欧美学界陆续开始研究个人信息宪法保护问题。经过几十年的发展，其宪法保护体系已经相当完善。基于英美法系与大陆法系对个人信息保护的立法模式差异，逐渐衍生出以美国(英美法系)为代表的“个人隐私权”理论和以德国(大陆法系)为代表的“个人信息自决权”理论。(一)美国“个人隐私权”保护模式美国的“个人隐私权”理论源于哈佛大学法学院沃伦教授与布兰代斯教授合撰的论隐私权(哈佛法律评论 1890 年第 5 期)一文。文中首提“隐私权”这一法律概念，并将其描述为“独处的权利”。文章认为，私人的生活领域受到法律保护，私人的信息事物是否披露由自己决定，二者均属个人隐私权的组成部分，且该权利与人格权存在交叉关系。这是通过法律保护隐私权的主张首次被提出。传统理论认为，个人信息属于个人隐私权的一部分，仅限于侵权范畴的普通法保护，并未上升到宪法层面。二战后，电子信息产业引领人类进入信息社会，加之政府权力的不断扩张，损害了公民对个人信息的自主权，引发全社会对个人信息权利的重视。但基于隐私权司法保护的理论相对滞后，无法回应公民对个人信息保护越来越大的需求，从宪法解释角度进行保护的模式呼之欲出3 美国是判例法国家，宪法中并未对个人信息保护进行规定，但其联邦最高法院通过分批分类总结经典案例的形式，将个人信息纳入宪法解释范围。然而，美国首次从宪法角度保护个人信息的标志是 20 世纪 60 年代葛里斯伍德诉康涅狄格案件。审理该案的道格拉斯大法官认为，权利法案 中的各项条文以及联邦宪法第一、第三、第四、第五、第九修正案都充分体现了公民个人信息权益，由此奠定了个人信息权宪法保护的基础。1973 年的罗伊诉韦德禁止堕胎案件则让个人信息权保护具有真正的宪法意义。根据葛里斯伍德诉康涅狄格案件确立的基本原则，布莱克曼大法官在审理该案时认为，妇女终止妊娠与否是其个人权利，且隶属于个人信息权范畴，但该权利并非没有限制，需要与州所保护的重大利益进行参照。4 此后，美国联邦最高法院终于承认个人信息权作为宪法基本权利的地位。罗伯特H博克法官评论道，葛里斯伍德案说明，“即使宪法没有规定也可以通过宪法判例解释来保护笼统的个人信息权”。另一个经典案例是沃伦诉罗伊案。该案实现了个人信息的人身权益属性到隐私利益属性的巨大跨越，进一步强化了隐私权的宪法保护。大法官史蒂芬认为，案件争议的焦点是在中央计算机中记录纽约州病人的个人信息是否违法。假如承认其合法性，可能侵害病人的个人信息隐私权益，也可能侵害病人的独立决策权;但与之相矛盾的是，纽约州的法令并未从内容上危害上述利益而达到违宪的限度。从判决结果来看，哪怕是国家行为记录产生的个人信息，依然不能逃脱隐私权的规制范围。该案判决首次确认了“个人信息隐私”概念，首次阐明了政府非法获取个人信息行为的违宪性。更重要的是，这是美国首次承认个人信息和个人自决均属宪法隐私权内容，由此确立了通过不断扩张隐私权构建个人信息宪法保护路径的立法模式。5(二)德国“个人信息自决权”保护模式德国在经历第二次世界大战洗礼后，更加追求个人自由，更加强调公民个人信息保护。德国是世界上最早将“人性尊严”作为宪法规范进行确定的国家，强调将人本身作为目的进行对待，倡导自治自决自由，这为个人信息自决权的产生奠定了良好的法律基础。1970 年，数据保护法 在德国黑森州诞生，成为世界上首部个人信息保护立法。随后，首部联邦层面的立法 防止数据处理过程中滥用数据法 在德国出台。后经多次修订，个人信息保护立法得到统一规范。6 德国从宪法层面保护个人信息，起源于 1983 年德国人口普查案。1982 年，联邦议会通过联邦人口普查04法。该法规定，从 1983 年 4 月 27 日开始，在全国范围内大规模统计个人信息。由此，个人信息通过计算机载体被广泛收集，且该法律赋予行政机关使用被收集人信息的合法权限。该法在社会上引起巨大争议，民众认为其个人信息安全受到政府行为威胁。民众代表将该法起诉到联邦宪法法院，要求确认该法违反联邦基本法。德国 基本法 规定，每个人都有发展人格权利的自由，但须以不侵害宪法秩序、他人权利以及道德规范为前提。个人信息受保护权慢慢成为人格权衍生出的特别情形。联邦人口普查法 的相关规定最终被联邦宪法法院判决违宪。7 该案的核心要点是:人人皆有控制自身信息的权利，且法律保护个人的知情权、选择权;个人信息如若被收集，须经本人同意;如个人在不知情或者明确拒绝的条件下被收集信息，收集信息者即可认定侵犯个人信息自决权。8 与美国将个人信息保护作为个人隐私权扩张的产物不同，以德国为代表的欧洲国家确定了个人信息受保护权的独立性，并与个人隐私权相区分。德国宪法法院首创“信息自决权”概念，该权利具有宪法权利属性。信息自决权是指每个信息主体都有决定是否将个人信息提供给国家机关、社会组织或个人使用、利用的权利。9 信息自决权有以下三个特点:其一，建立在宪法中的一般人格权基础之上。这主要是由于当时的德国基本法中对个人信息保护缺乏明确规定，在立法解释时，与之关联较大的人格自由条款和人格尊严条款被适用;其二，限制公民个人信息权必须有法律的明确规定，防止个人信息权利受到公权力和私权力的随意侵害;其三，收集个人信息须受到严格、明确的限制，防止个人信息被轻易采集。“信息自决权”概念的创立将公民个人信息保护提升到宪法保护高度，从而使公民个人信息保护成为立法、执法、司法等国家机关的共同责任和义务，进一步提升了全社会保护公民信息的意识，为德国立法机关制定个人信息保护法律提供了宪法依据。三、我国个人信息宪法保护路径从宪法角度构建我国个人信息保护路径，首先应明确宪法依据，即将宪法基本权利的范围扩大到包括个人信息;再明确“个人信息受保护权”这一核心概念，以民法典等法律保护体系逐渐健全为契机，建立与之配套的个人信息专门保护机构，进一步加强个人信息宪法保护力度。(一)确定个人信息保护的宪法依据近年来，随着个人信息法律保护体系的日益完善，学界对在宪法层面确定个人信息的基本权利地位已达成共识。10 关于个人信息宪法保护模式，目前学界主要存在两种观点:一种是通过宪法肯认，即在成文宪法 中明确写入个人信息保护相关条款，将个人信息保护作为宪法基本权利，典型代表是欧洲基本权利宪章 第 8 条对“个人信息受保护权”的规定;另一种是通过宪法解释方式，将个人信息保护纳入公民基本权利范畴，典型代表是美国联邦最高法院通过判决首次确立“信息隐私权”。我国学界对个人信息保护的宪法基础也进行了多次探讨和研究，主流思想是通过解释宪法的方式，将个人信息纳入宪法基本权利章节，但不同学者对具体条款的不同理解衍生出两种观点。有的学者认为，可以依据 宪法 第 33 条对个人信息保护进行解释，将个人信息权解释为“国家尊重和保障人权”中的一种新的人权，以论证其基本权利的属性;还有学者认为，应该依据宪法 第 38 条对个人信息保护进行解释，将个人信息视为“中华人民共和国公民的人格尊严不受侵犯”中的宪法上的人格权进行保护，从而体现个人信息保护对人的尊严的价值追求，并将一般人格权作为基本权利的基础。我国个人信息宪法保护的核心在于赋予公民个人获得请求国家机关作为或不作为的权利，包括在公民个人信息受到侵害或威胁时请求国家提供救济的受益权，也包括国家未经授权不得侵犯公民个人信息的被动防御权，从而使人的价值和尊严得到重视。正因如此，国家有义务通过创立相关法律法规、创设相关执法机构、赋予执法机构相应职责权限，对作为公民基本权利的个人信息权利进行保护。笔者认为，对个人信息进行宪法保护的最直接、最有效方式，是在宪法 第二章明确规定个人信息受保护权，将其明确为公民基本权利。考虑到现行宪法的稳定性和立法的延续性，在暂时无法对宪法进行修改的背景下，我国宪法 第 38 条规定的人格尊严权确保了公民作为独立主体的权利得到尊重，这与公民个人信息所具有的自主决定权相契合。故14应将个人信息保护纳入 宪法 第 38 条的基本权利范围并予以解释，保护公民的个人信息不受任何侵犯。11(二)界定个人信息受保护权的概念在将个人信息保护权入宪并明确其宪法基本权利地位后，如何界定个人信息宪法保护范围，厘清其基本概念，学界还存在不同看法。有学者认为，应该使用“个人信息权”概念，因为其与个人信息宪法基本权利的属性定位最为接近，是个人信息收集、使用、处理等相关权利的总称;有学者认为，应参照德国立法观点，使用“个人信息自决权”概念，其主要指信息主体对个人信息享有的占有权、使用权、收益权、处分权;还有学者认为，应该使用“个人信息受保护权”的表述，因为其在欧盟立法中被广泛使用，指公民在处理个人信息过程中所享有的受到